8월 둘째주, 셋째주

beginner_king·2022년 8월 18일
0

[취약점]

4억 9,400만명 사용자 보유한 WPS Office, 제로데이 취약점 발견

매그니베르 랜섬웨어, 파일명 바꿔가며 지속적으로 공격 중

...
그런데 최근 파일명을 변경해 사용자들의 의심을 피하고 실행을 유도하고 있는 점이 포착됐다. 기존의 경우에는 사용자의 접속 횟수와는 상관없이 매번 ‘Antivirus.Upgrade.Database.Cloud’의 동일한 파일명의 랜섬웨어 파일을 내려주었는데, 많은 사용자들이 해당 파일이 랜섬웨어 파일이라는 것을 인지하여 감염률이 낮아진 탓인지 공격자들이 주기적으로 파일명을 변경하기 시작한 것이다.

공격자들은 8월 4일에는 파일명을 ‘Security.Upgrade.Hotfix.Cloud.cpl’로, 5일에는 ‘Antivirus.Update.Hotfix.KB[랜덤8자리숫자].cpl’로 지속적인 수정 중에 있다. 기존과 마찬가지로 사용자가 크롬 브라우저를 사용하면 .cpl 파일 형태로, 엣지 브라우저를 사용하면 .zip 파일 형태로 내려주는 방식은 기존과 동일하다.
...

패치가 있으나 없으나 인기가 항상 높은 MS 생태계의 취약점

...
“2사분기 동안 오래된 MS 오피스 취약점들만 50만 번 이상 익스플로잇 됐습니다. 오래된 소프트웨어를 패치하지 않고 사용했을 때 얼마나 위험해질 수 있는지를 드러내는 사례입니다. 오래된 취약점들은 공격자들 사이에서 인기가 높습니다. 익스플로잇 방법이 연구될 대로 연구되었기 때문입니다. 아직까지 공격자들이 가장 많이 익스플로잇 하는 것은 오래된 취약점들이라고 말할 수 있습니다.” 카스퍼스키의 설명이다. 새로운 취약점에만 관심을 갖는 건 오히려 보안 전문가들과 보안 매체들이라고도 볼 수 있다.
...

패치 적용의 중요성

새로운 크롬 브라우저의 제로데이 취약점, 이미 공격에 활용돼

[사건/사고]

한국 10대는 해킹으로 시험지 빼돌리고, 유럽 10대는 리포지터리에 랜섬웨어 퍼트리고

...
유명 파이선 패키지 리포지터리인 PyPI에 장난 삼아 랜섬웨어 스크립트를 업로드 한 것이다. 악성 패키지의 이름은 requesys, requesrs, requesr이었고, 전부 requests라는 인기 높은 파이선 라이브러리를 흉내 낸 것들이다. 즉 타이포스쿼팅 공격을 하기 위한 장치들이었던 것이다.
...

콜로니얼 파이프라인 사건, 전형적인 OT 피해 사례

[클라우드]

[주말판] 클라우드 마비 요인과 피해액, 그리고 기업이 할 일

...
“리스크 요인을 클라우드 제공 업체와 고객사가 어떤 식으로 분담할 것인지를 협상하는 게 중요합니다. 물론 지금 클라우드 업계의 선두주자들이 하나 같이 리스크를 전혀 부담하지 않으려 하고 전부 고객사에 밀어둡니다만, 그래도 짚고 넘어가는 것과 그냥 서명하는 것에는 차이가 존재합니다.

[동향]

[블랙햇 2022] 아무리 강조해도 패치 관리가 잘 되지 않는 이유

RAT 툴, GitHub에 솔루션파일로 위장해 유포중

...
GitHub와 윈도 탐색기의 확장자가 솔루션파일(*.sln)처럼 보이는 원리는 파일을 압축해 확인 가능하다. 악성코드를 ZIP 파일로 압축 후 ZIP 파일을 Hex Editor에서 열어 보면 파일명에 E2 80 AE가 들어가 있는 것을 확인할 수 있다. 해당 내용을 확인해보면 ‘RIGHT-TO-LEFT OVERRIDE’를 뜻하는 유니코드 문자를 사용하기 때문이다.
...

profile
보초왕

0개의 댓글